PCの更新、廃棄時の情報漏えいを防ぐ――Windows 10の標準機能でPC、HDDを安全に処分する方法：企業ユーザーに贈るWindows 10への乗り換え案内（68）

2019年末に発生した、処分したはずのHDDが転売された事件を受け、情報漏えいリスクに備え、PCや記憶メディアを安全に処分する方法に注目が集まりました。データ消去ソフトの無料提供を開始した機器メーカーもあります。今回は、Windows 10標準のセキュリティ機能を用いて、PCや記憶域メディアを安全に廃棄、譲渡、あるいは販売する方法を紹介します。

[山市良，テクニカルライター]

企業ユーザーに贈るWindows 10への乗り換え案内

PCやHDDの処分に利用できるWindows 10のセキュリティ機能とは？

　「Windows 10」は、PCや記憶メディアを安全に処分するためのセキュリティ機能を標準で備えています。以下の2つの機能を利用すればそれが可能です。

• PCのリセット（このPCを初期状態に戻す）
• BitLockerドライブ暗号化／BitLocker To Go

　PCの安全な処分とは、譲渡、売却、またはレンタル品の返却のために、プリインストールOSとしてのWindows 10を含む形で、内蔵の記憶メディアからのプライベートな、または機密データの復元を困難な状態にすることです。これには「PCのリセット」機能を利用できます。

　記憶メディアの安全な処分とは、PCに内蔵のHDDやソリッドステートドライブ（SSD）だけでなく、USBメモリや外付けHDDなどのリムーバブルメディアからデータの復元を困難な状態にすることです。再利用（譲渡や販売、返却を含む）の予定がない場合は、物理的に破壊するのが確実です。

　しかし、2.5インチHDDやSSD、USBメモリであれば物理的な破壊も簡単ですが（写真1）、3.5インチHDDとなると手持ちの工具で破壊するのは困難でしょう。

写真1　2.5インチHDDやSSD、USBメモリであれば、ドリルや金づち、くぎなど、手持ちの工具で物理的に破壊することが可能だが、3.5インチHDDとなると難しい

　物理的な破壊が困難な場合や、再利用を予定している場合は「BitLockerドライブ暗号化」機能が利用できます。BitLockerドライブ暗号化は、「Windows Vista」のEnterprise／Ultimateエディションで初めて導入され、「Windows 8」以降はProエディション（Homeを除く全てのデスクトップ向けエディション）でも利用可能になったセキュリティ機能です。

　記憶域メディア全体を高度に暗号化できるため、それだけで（データを削除しなくても）データの復元が困難になります。暗号化した上で、さらにフォーマットやボリュームの削除を行えば、よりデータ復元の困難さが増します。

　PCを廃棄する目的であれば、PCから内蔵の記憶メディアを取り外した上で、USB外付けHDDケースに組み込み、USB経由で操作すればよいでしょう（写真2）。

写真2　PCから取り出したHDDをUSB外付けHDDケースに取り付け、USB経由で処分のための準備をする

　USBリムーバブルデバイスのBitLockerドライブ暗号化機能を特に「BitLocker To Go」と呼びますが、暗号化方式や機能は内蔵の固定ドライブの暗号化とほとんど変わりません。OSドライブの暗号化とは異なり、パスワード（またはスマートカード）により暗号化ロックを解除します。

PCのリセット――Windows 10 PCの安全な譲渡や売却のために

　PCを再利用可能な状態で処分するには、Windows 10の「PCのリセット」機能を使うのが手軽です。PCのリセットは、個人データを保持した状態でOSをリフレッシュするオプションと、全てのデータとアプリケーションを削除した状態で初期状態に戻すオプション（現在のWindows 10の新規インストール相当）の2つの機能を持ちます（画面1）。

画面1　「設定」アプリの「更新とセキュリティ」→「回復」→「このPCを初期状態に戻す」で「開始」をクリックし、「すべて削除する」オプションを選択する

　後者のオプションでは、データとデータドライブ（存在する場合）から単にファイルを削除するだけでなく、データの復元を困難にする、PCの処分に適したクリーニングオプションが用意されています（既定はオフ、画面2）。

画面2　ファイルを削除するだけでなく、ドライブをクリーニングするオプションを「オン」にしてPCをリセットする

　なお、クリーニングオプションを「オン」すると、PCのリセットに数時間かかる場合があります。また、OSドライブやデータドライブが暗号化されている場合は、PCのリセットにより暗号化は「オフ」にされます。

BitLockerドライブ暗号化――短時間でデータの復元を困難に

　Windows 10（およびWindows 8.1）のProやEnterpriseエディションは、「BitLockerドライブ暗号化」によるOSドライブおよびデータドライブ全体の暗号化をサポートしています（画面3）。この機能はHomeエディションでは利用できませんし、Homeエディションでも利用できる「デバイスの暗号化」とは別の機能であることに留意してください。

画面3　BitLockerドライブ暗号化は、Windows 10 ProやEnterprise（Home以外）のエディションで利用できる高度なセキュリティ機能

　BitLockerドライブ暗号化の機能を用いて、処分用にHDDやUSBメモリを準備するには、次の手順で操作します。

　「コントロールパネル」の「システムとセキュリティ」から「BitLockerドライブ暗号化」を選択して、暗号化対象のHDDやUSBメモリで「BitLockerを有効にする」をクリックします。内蔵の固定ドライブ、USB外付けHDD、USBメモリは、既定ではパスワードロックの方法でのドライブ全体の暗号化が可能です（OSドライブとは異なりTPM《Trusted Platform Module》は使用しません）。HDDやUSBメモリを処分することが目的であれば、十分に長く複雑なパスワードを設定し、パスワードはその場で忘れてしまってください（画面4）。

画面4　長くて複雑なパスワードを2回入力し、そのパスワードは書き留めることなく忘れてしまうこと

　「回復キーのバックアップ方法を指定してください」の画面では、「回復キーを印刷する」を選択し、プリンタに出力します。そして、出力紙はその場で直ちに破棄します（画面5、写真3）。

画面5　回復キーのバックアップ方法として「回復キーを印刷する」を選択する。処分のためには、クラウドやファイルとして残さないことが重要

写真3　プリンタで印刷して、出力紙を直ちに破棄する

　あるいは、印刷時に「Microsoft Print to PDF」または「Microsoft XPS Document Writer」プリンタを選択して、今暗号化しようとしているドライブ上の任意のパスにPDFまたはXPSファイルとして出力するとういう方法もあります。

　「ファイルに保存する」オプションは暗号化対象のドライブ上のパスに保存できませんが、これらのプリンタ経由での印刷（ファイル出力）は可能です。暗号化するドライブ上に保存することで、暗号化を解除しない限り取り出せなくなるため、処分するためには好都合です。

　「ドライブを暗号化する範囲の選択」のページでは、「ドライブ全体を暗号化する」を選択することが重要です（画面6）。これにより、既に削除されたデータが使用していた領域も含むドライブ全体が暗号化され、削除済みデータの復元が困難になります。

画面6　既に削除されたデータが使用していた領域も含めて保護するため、「ドライブ全体を暗号化する」を選択する

　ドライブ全体の暗号化が100％完了すると、ロックされている状態ではデータの復元が困難になります。しかし、総当たり攻撃などでパスワードを突破されるとロックが解除され、中身を参照できてしまいます。48桁の回復キーの総当たり攻撃は現実的に不可能といわれていますが、可能性はゼロではありません。

　そこで、暗号化済みのドライブをフォーマットするか、ボリュームを削除します（画面7）。これで事実上、データの復元はできなくなります。

画面7　ドライブ全体の暗号化を行った上で、フォーマットまたはボリュームの削除を行い、パスワードによるロックの解除も不可能にする

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（2019-2020）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。